Tyrkiets KVKK og 2024-ændringerne: Udgiveres og annoncørers guide til cookiesamtykke, grænseoverskridende overførsler og eksplicit samtykke i 2026
Tyrkiets lov om beskyttelse af personoplysninger (KVKK, lov nr. 6698) har været i kraft siden 2016, men i det meste af det årti fungerede den som GDPR's mere stille fætter — genkendelig i struktur men mærkbart blødere i håndhævelse. Den æra er slut. 2024-ændringerne til KVKK, offentliggjort i den officielle tidende den 12. marts 2024, omstrukturerede regimet for grænseoverskridende dataoverførsler for at tilpasse det til GDPR-stil-ækvivalens og standardkontraktbestemmelser, og KVKK-rådet (Kişisel Verileri Koruma Kurulu) har meningsfuldt intensiveret håndhævelsen i løbet af 2025 og ind i 2026. For enhver udgiver, annoncør eller platform, der behandler data om tyrkiske brugere — uanset om den er baseret i Tyrkiet eller betjener det tyrkiske marked fra udlandet — er 2026 det år, hvor en moderne samtykkestak holder op med at være et rart-at-have og bliver standarden. Denne guide gennemgår loven i sin ændrede form, hvad cookiesamtykke faktisk kræver, hvordan grænseoverskridende overførsler nu fungerer, og hvordan Rådets håndhævelse ser ud i praksis.
Strukturen af KVKK efter 2024-ændringerne
KVKK er den primære databeskyttelseslov i Tyrkiet, og dens ændrede tekst er nu referencepunktet. Udgivere, der har arbejdet med versionen fra før 2024, ser på en forældet ramme.
Hvad 2024-ændringerne ændrede
Den overordnede ændring var en omskrivning af artikel 9, som regulerer internationale dataoverførsler. Regimet før 2024 var notorisk svært at opfylde — det krævede enten eksplicit samtykke eller en sag-for-sag-godkendelse fra Rådet til næsten hvert grænseoverskridende flow, hvilket var uanvendeligt for enhver moderne ad tech-stak. Den ændrede artikel 9 indfører tre niveauer af overførselsmekanisme: en ækvivalensafgørelse fra Rådet, et sæt passende garantier inklusive standardkontraktbestemmelser og i snævre tilfælde et sæt undtagelser. Dette bringer endelig tyrkisk overførselslov i overensstemmelse med GDPR-mønstret og gør programmatisk reklame internationalt compliant uden en per-leverandør-ansøgning til Rådet.
Hvad der ikke ændrede sig
Kerndefinitionerne, retsgrundlagene, de registreredes rettigheder og standarden for eksplicit samtykke til følsomme data forbliver, som de var. Den tyrkiske eksplicitte samtykkegrænse er i praksis strengere end GDPR's standard, og det er her, de fleste udgiveres compliance-mangler stadig befinder sig.
VERBIS-registret
Dataansvarlige over visse tærskler — herunder de fleste udenlandske dataansvarlige, der behandler tyrkiske personoplysninger i stor skala — skal registrere sig i registret over dataansvarlige (VERBIS). Registrering kræver videregivelse af behandlingsaktiviteter, retsgrundlag og overførselsmekanismer. Mange udenlandske udgivere har historisk sprunget VERBIS-registrering over; Rådet har signaleret en mere aktiv holdning til dette i løbet af 2025 og 2026.
Hvad der tæller som personoplysninger under KVKK
KVKK's definition af personoplysninger er bred og svarer nøje til GDPR's. Personoplysninger er enhver information om en identificeret eller identificerbar fysisk person, og Rådets vejledning har konsekvent behandlet cookies, reklameidentifikatorer, IP-adresser og enhedsfingeraftryk som personoplysninger, når de kan knyttes til en bruger direkte eller via rimelige midler.
Følsomme personoplysninger
KVKK's liste over følsomme kategorier er bredere end GDPR's: den inkluderer eksplicit race, etnisk oprindelse, politisk mening, filosofisk overbevisning, religion, sekt, udseende, forenings- eller fondsmedlemskab, helbred, seksualliv, straffedom, sikkerhedsforanstaltninger og biometriske og genetiske data. Behandling af disse kræver eksplicit samtykke — ikke den tvetydige eller bundlede slags, men et specifikt, informeret, frit givet samtykke knyttet til den specifikke følsomme behandling.
Hvorfor det har betydning for cookies
En cookie, der kun gemmer et sessions-ID, er grundlæggende personoplysninger. En cookie, der fodrer et målgruppesegment som Liberale vælgere eller Fromt religiøst samfund, er følsomme personoplysninger i henhold til den tyrkiske definition — og den krævede samtykkekonfiguration er eksplicit samtykke eller ingenting. Udgivere, der målretter målgruppesegmenter, der berører KVKK's følsomme liste, bør ikke køre disse segmenter under generelt reklamsamtykke.
Cookiesamtykke under KVKK i 2026
Rådets holdning til cookies er strammet over de seneste to år. Den nuværende vejledning er utvetydig: cookies og sporingsteknologier, der behandler personoplysninger, kræver samtykke, medmindre de er strengt nødvendige for en tjeneste, som brugeren har anmodet om.
De fire elementer i gyldigt eksplicit samtykke
Tyrkisk eksplicit samtykke skal være:
- Relateret til et specifikt emne — generelt paraplyksamtykke, der dækker uspecificeret fremtidig behandling, er ikke gyldigt
- Informeret — brugeren forstår, hvilke data der behandles, til hvilket formål, af hvem og hvor længe
- Frit givet — brugeren kan afvise uden at blive nægtet en tjeneste, de ellers er berettiget til
- Udtrykt ved en klar bekræftende handling — forudafkrydsede bokse, implicit samtykke og scroll-som-samtykke er alle ugyldige
Hvad en compliant CMP ser ud til
En CMP konfigureret til tyrkisk trafik i 2026 bør præsentere:
- Et synligt banner, inden nogen ikke-essentiel cookie aktiveres, med standard til tyrkisk (Türkçe) for tyrkiske brugere
- Lige visuel fremtræden for Accepter, Afvis og Tilpas — Rådet har specifikt påpeget bannerdesigns, hvor Afvis er mindre synlig end Accepter
- Granulære til/fra-knapper pr. formål: analyse, annoncering, personalisering, grænseoverskridende overførsel og enhver følsom-kategori-behandling
- En vedvarende, letadgængelig mekanisme til tilbagetrækning af samtykke efter det indledende valg
- En tyrkisksproget Aydınlatma Metni (privatlivsmeddelelse), der oplyser om den dataansvarliges identitet, formål, modtagere, opbevaring og rettigheder
- Et separat, tydeligt mærket eksplicit samtykkesflow (açık rıza) for enhver følsom-kategori-behandling, beskyttet bag sin egen handling
Samtykkeposter
Den dataansvarlige skal opretholde samtykkeposter — hvem der gav samtykke, hvornår, til hvad, via hvilken grænseflade. KVKK-rådet har citeret utilstrækkelige samtykkelog i adskillige håndhævelseshandlinger, og eksporterbare tidsstemplede log er minimumsforventningen.
Grænseoverskridende overførsler under den ændrede artikel 9 fra 2024
2024-ændringerne introducerede en trelags overførselsramme, der afspejler GDPR's tilgang. Forståelse af, hvilket lag der gælder for hvilket flow, er den mest almindelige compliance-kløft for udenlandske udgivere i 2026.
Lag 1 — Ækvivalensafgørelse
Rådet kan udpege et land, en international organisation eller en sektor i et land som tilbydende tilstrækkelig beskyttelse. Overførsler til passende destinationer er tilladt uden yderligere mekanisme. Pr. begyndelsen af 2026 udstedte Rådet gradvist ækvivalensafgørelser, men havde endnu ikke udpeget USA bredt.
Lag 2 — Passende garantier
I mangel af ækvivalens er overførsler tilladt på grundlag af passende garantier. Ændringerne angiver specifikt standardkontraktbestemmelser godkendt af Rådet, bindende virksomhedsregler for koncerninterne overførsler og adfærdskodekser eller certificeringsmekanismer godkendt af Rådet. Rådets standardkontraktbestemmelser blev offentliggjort i 2024 og er den vigtigste fungerende mekanisme for de fleste udgivere.
Lag 3 — Undtagelser
Der er snævre undtagelser for lejlighedsvise overførsler, overførsler, der kræves for kontraktudførelse, eller overførsler, som brugeren eksplicit har givet samtykke til. Disse kan ikke bruges som det primære retsgrundlag for løbende programmatiske flows.
Praktisk implikation for udgivere
En typisk programmatisk stak sender cookie-afledte data til snesevis af oversøiske leverandører pr. bud. Hvert af disse flows er en grænseoverskridende overførsel. Den 2026-fungerende tilgang er at udføre Råds-godkendte standardkontraktbestemmelser med hver international databehandler og dokumentere overførselsmekanismen i Aydınlatma Metni og VERBIS-registreringen. Udgivere, der har holdt fast ved logikken med eksplicit samtykke-pr.-overførsel fra perioden før 2024, er samtidigt overeksponeret for compliance-risiko og underudnytter monetiseringsmuligheder.
Registreredes rettigheder
Tyrkiske registrerede har det fulde sæt af rettigheder, der er fundet i GDPR, anvendt gennem KVKK-rammen:
- Ret til at lære, om deres data behandles
- Ret til adgang til de behandlede data
- Ret til korrektion af unøjagtige data
- Ret til sletning eller anonymisering, hvor behandling ikke længere er berettiget
- Ret til at blive informeret om tredjepar ter, som data er videregivet til
- Ret til at gøre indsigelse mod automatiserede afgørelser, der producerer negative virkninger
- Ret til erstatning for skader forårsaget af ulovlig behandling
Svarfrister
Dataansvarlige skal besvare anmodninger fra registrerede inden for 30 dage. Den registrerede kan eskalere til KVKK-rådet, hvis den dataansvarliges svar er utilstrækkeligt, og Rådet har et 60-dages vindue til at beslutte. Operationel beredskab til 30-dages vinduet — med køreplaner, værktøjer og tyrkisksprogede svarskabeloner — er en almindelig mangel for udenlandske udgivere.
Sanktioner og håndhævelsesposition i 2026
KVKK-rådet var relativt stille i sine første år, men har meningsfuldt intensiveret håndhævelsen. Det samlede bødetal for 2025 var det højeste siden loven trådte i kraft, og 2026 er på en lignende bane.
Administrative bøder
Administrative bøder indekseres årligt til inflation. Fra 2026 overskrider loftet for de mest alvorlige overtrædelser 40 millioner TRY pr. overtrædelse, og separate lofter gælder for fejl omkring datasikkerhed, anmeldelse, VERBIS-registrering og Rådets afgørelser. Udenlandske dataansvarlige er blevet bødelagt i den øvre ende af intervallet i adskillige 2025-aktioner.
Omdømmemæssig eksponering
Rådet offentliggør resuméer af håndhævelsesafgørelser på sin hjemmeside. Udenlandske udgiver-bøder har regelmæssigt gjort det i tyrkisk teknologipress, og den omdømmemæssige omkostning ved en offentlig KVKK-afgørelse er typisk højere end selve bøden.
Håndhævelsestemaer
Rådets aktioner i 2025 og tidligt i 2026 grupperer sig om et lille sæt tilbagevendende problemer: manglende eller tvetydigt cookiesamtykke, utilstrækkelig Aydınlatma Metni, uregistrerede udenlandske dataansvarlige i VERBIS og ulovlige grænseoverskridende overførsler med den pre-2024-ramme.
Revisionscheck for tyrkisk trafik i 2026
- CMP-banneret vises på tyrkisk for tyrkiske brugere med Accepter, Afvis og Tilpas ved lige visuel fremtræden
- Samtykkeformål er granulære og adskiller enhver følsom-kategori-behandling bag sit eget eksplicitte samtykkesflow
- Samtykkelog er tidsstemplede, eksporterbare og opbevaret i mindst behandlingsperioden plus en reviderbar margen
- Aydınlatma Metni er tilgængeligt på tyrkisk med fuld offentliggørelse af dataansvarlig, databehandlere, formål, opbevaring og rettigheder
- VERBIS-registrering er komplet og opdateret, hvis den dataansvarlige krydser tærsklen
- Grænseoverskridende overførsler baserer sig på 2024-standardkontraktbestemmelserne eller en anden gyldig artikel 9-mekanisme, med mekanismen dokumenteret i Aydınlatma Metni
- Arbejdsgang for anmodninger fra registrerede kan svare inden for 30 dage fra ende til ende, på tyrkisk
- Leverandørlisten er gennemgået med ubrugte eller redundante leverandører fjernet for at reducere eksponeringen
2026-udsigten
Tyrkiets databeskyttelsesregime har indhentet den europæiske ramme i form og indhenter hurtigt op i håndhævelse. 2024-ændringerne fjernede den største strukturelle forhindring for moderne international ad tech — det gamle overførselsregime — og Rådet har brugt de to år siden til at fokusere på håndhævelse af resten af loven. Udgivere med en GDPR-grade samtykkestak skal foretage relativt små justeringer for at være Tyrkiet-klar: tyrkisksproget CMP og meddelelse, VERBIS-registrering hvis relevant, 2024-standard overførselsklausuler og omhu med den bredere liste over følsomme data. Udgivere, der har behandlet Tyrkiet som et lettere marked, vil finde 2026 dyrere end 2025, og 2027 dyrere end 2026. Kløften kan lukkes på uger, hvis den prioriteres — og det bør den.